摘要：本文对城域网目前数据网络安全及运行管理方面进行详细分析，解决NAT方式、安全性低、ARP病毒泛滥 网络管理等不足，最后通过网络系统安全建设需要的几个系统，以及网络安全系统建设需要的几个技术关键技术，实现局域网数据网络安全及运行的管理。

关键词：：NAT方式 DHCP转换为PPPOE 网络流量查询 病毒查询系统

一、引言

数据网络发展的十年间，数据业务由刚开始的模拟33.6K拨号、56K拨号到SDSL、ADSL、光纤小区，随着网络的规模的不断扩大，网络安全及运行管理也应运而生。

数据网络的安全及运行管理方面还存在以下的问题：

1、网络安全性低

2、NAT方式弊端

3、ARP病毒泛滥

4、网络管理不足

二、城域网安全系统建设

1、网络用户的认证与运行管理

主要解决网络用户认证及运行管理，指定方向、指定端口监测，实现网络分析与预警等网络活动内容记录；通过收集和分析计算机网络或计算机系统中若干关键点的信息，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象；快速找到有无病毒扩散行为，快速定位、隔离。

2、网络病毒发现与定位

近几年流行的一些网络病毒如ARP病毒，在发作时对用户造成很大冲击，频繁掉线，需要对其准确定位、隔离和阻断，保障网络的正常运行。

3、网络业务自动处理

随着ADSL网络迅猛的扩大，宽带用户数量急剧膨胀，手工的开通方式远远不能适应规模运营的要求，也耗费大量人力，同时从用户申请到真正开通经过漫长的时间，需要实现自动业务受理、计费处理、停机、复机、语音查询、障碍申告、电子工单、业务管理等业务，就可以改善工作量大、效率低、易出错现状。

4、网络安全结构调整

A. 取消NAT方式。

取消私网地址启用公网地址，每个用户在线期间获取公网地址，使指定用户可反查。

B. 用户身份验证。

用户通过身份验证后方可上网，系统将记录用户的MAC地址、IP地址、在线时间、上下线时间等基本数据。

C. DHCP转换为PPPOE。

DHCP由于广播域比较大，易造成病毒泛滥， PPPOE属于点对点的通信协议，能够控制病毒传播和泛滥。

三、城域网建设需要建立的几个系统

1. 网络流量查询、病毒查询系统

结合实际在用数据通信设备，完成特定程序开发，提取设备信息，机房值班人员随时可以用鼠标点击按钮，查询有无用户病毒攻击行为，根据信息中的用户MAC地址、VLAN信息在相应DSLAM设备上定位用户端口，然后进行隔离或阻断，避免其对其他用户影响。

同样也完成了指定端口的流量分析，可随时提取指定端口的流量，根据具体设备情况，确定流量是否正常，为设备维护提供依据。

2. 网络用户认证系统

完成全网2万用户由原来自动上网向认证上网的转变，完成全油田用户私网地址向公网地址转变，从根本上解决用户反查定位问题，为宽带用户的运营管理和计费管理奠定基础。

3. 网络用户自动业务处理系统

用户在营业前台办理手续，自动完成用户开户、销户、过户、停机、开机等业务受理；根据不同的计费策略实现用户的自动停复机；实现与原有固话运营系统的接口设计，成功实现固话与宽带的运营融合。

4. 语音查询系统和WEB自助系统

用户可以通过用家里固定电话、语音查询系统、WEB网页三种方式进行宽带业务的查询及修改。

四、城域网系统建设需要解决以下几项关键技术

1.全网取消NAT、启用公网地址

网络地址转换（NAT）通过将专用网络地址转换为公用地址，从而对外隐藏了内部 IP 地址，同时也隐藏了内部网络结构。

但是NAT也存在几个问题：多个私网地址只对应一个公网地址，不能进行反查；利用公共网络建立虚拟私有网的VPN穿透不了NAT；NE40、NAT策略随着用户数、出口方向的增多，NAT效率下降、性能下降、丢包现象严重。

NAT用户反查查问题。NAT用户反查时需要提取NAT日志，NAT日志需要外接设备记录，随着流量增加，NAT的日志记录需要大容量存储设备，高性能处理设备，而这种设备很昂贵，并且需要在网络大节点处多处布置，以后网络结构变化，这些设备还需重新布置。

取消NAT、启用公网地址，直接反查公网地址，不需NAT的配置任务、翻译过程，省去了大量的NAT日志记录；解决NAT应用的缺陷；缓解NE40负载重、运行慢现况；为反查定位奠定基础，节约大量资金。

2.宽带系统运行保障

双机热备: 服务器的故障可能由设备故障、操作系统故障、软件系统故障等各种原因引起，对于全网认证服务这样重要系统而言，用户是很难忍受这样长时间的服务中断的，双机热备，不是简单的放置两台设备，而是通过双机控制系统来协调决定谁主用，谁备用，一台故障时，自动切换另一台主用，来避免长时间的服务中断，保证系统长期、可靠的服务。

双电源控制: 主要服务器采用双路电源模块，从不同的设备取电，避免了服务器电源故障和供电设备故障造成的系统瘫痪。

数据备份: 数据备份分为本地和异地备份。两个认证服务器共享磁盘阵列，本地备份通过linux脚本执行oracle语句备份到本地磁盘阵列，异地备份是通过ftp服务，把备份出来的数据，定时拷贝到web自助、异地服务器上，确保数据的可恢复性。

无认证模式: 当认证服务器、电源发生故障不能及时恢复时，可以启用假认证方式进行恢复，保证所有用户不经过认证就可以上网，并且感觉不到，从而羸得时间。

3. 系统安全设置

在连接宽带业务网与营业部局域网的计算机上使用双网卡，将两个网络进行隔开。

在所有终端计算机上，均安装防病毒软件和软防火墙软件。设置好软防火墙的安全分级，最大限度的过滤数据包，防止攻击。

开放了远程连接linux操作系统、查询oracle数据库、浏览器打开web界面、认证和计费端口。

4. 提高认证效率

在系统实施的过程中通过以下手段，有效地提高认证效率。

屏蔽双机软件的日志“输出” ，把认证的模式进行简化;减少从营业数据库直接对认证数据库的操作。

5. 业务数据同步

专门配置一台服务器，运行业务数据同步软件，进行营业和认证数据交互：

将营业系统中受理的所有宽带业务数据同步更新到宽带认证系统；

将营业系统中缴费的纪录更新到宽带认证系统；

将宽带认证系统中已经欠费的用户导出到营业系统；

将宽带认证系统中上网详单、汇总数据导入到营业系统；

用户档案同步。

6. 时钟较正

由于用户上线、下线时间提取的是radius 时间， radius服务器的时间准确率就尤为重要。最初radius时间每周有三分钟误差，通过启用radius后台程序，每五分钟从BIOS调取时间作为radius服务器时间，使radius 系统时间和服务器同步，保证了时间的准确。

五、结束语

城域网网络安全系统的应用提高了吉林油田数据网络运行安全性、稳定性，维护合法用户的正当权益，及时准确地处理网络故障；使机房维护人员从手工操作改为电脑自动操作，在网络管理方面对整个网络统一管理、统一配置、统一监控，提高工作效率，此系统在城域网信息管理和网络应用管理方面具有较高的前瞻性、先进性。◆

作者简介：尹国辉，男，1970年生，毕业于西安石油大学石油电子仪器专业，大专学历，助理工程师，现在吉林油田集体企业资产管理处网络管理工作。